الأمن السيبراني وهجمات شرسة لاتنسى2

كتب\ صلاح عبدالله

فى يوم 6 يناير2021  وهو اليوم الذي كانت تداعب فيه الأحلام السلطوية دونالد ترامب ويتأهب أنصار لإقتحام مبنى الكونجرس وبينما يحبس العالم أنفاسه متابعاً تداعيات تلك الأحداث كانت هناك مجموعة أخرى على بعد آلاف الكيلومترات تبدأ بشن هجوم عنيف لكنه شديد الهدوء والحذر على خوادم ميكروسوفت اكستشينج Microsoft Exchange Server الخاصة بأكثر من 30,000 شركة ومؤسسة في الولايات المتحدة وحدها هذا بخلاف آلاف الخوادم الضعيفة الأخرى حول العالم لعل أبرزها الهيئة المصرفية الأوروبية

كيف حدث ذلك

بخلاف هجوم  Solarwinds الأسبق والأشهر الذي تتهم به مجموعة تدعى كوزي بيير Cozy Bear  أو APT29 التابعة للمخابرات الروسية والذي كان يتميز بالحرفية والتقنية العالية إلا أن هذا الهجوم الضاري لم يكن يحتاج لأشخاص ذوي مهارة فنية عالية بل اعتمد على أربع ثغرات لم تؤمن بعد في خوادم ميكروسوفت إكستشينج أستطاع من خلالها تثبيت web Shills  مكنته من إختراق تلك الخوادم والدخول بشكل شبه طبيعي وعن طريق كلمات سر مسروقة جعلت المهاجمين يبدون وكأنهم يدخلون بشكل طبيعيى ويستولون على كميات ضخمة من البيانات .

تقرير KrepsOnSecurity اكتشاف Volexity

أعلنت KrepsOnSecurity في 6 يناير الماضي كما صرح رئيس الشركة أن الباحثين في Volexity كان لهم الفضل في رصد الهجمات  التي تطلبت مهارات عالية في التصميم ومعرفة بسيطة فنياً للتنفيذ فيكفي للمهاجم من خلال أي متصفح الدخول للخادم عن طريق الباب الخلفي الذي تم تثبيته والاطلاع على كل رسائل البريد الإليكتروني على الخادم .

من هم اللاعبون الجدد

صرحت ميكروسوفت إن الثغرات يتم استخدامها من قبل مجموعة تجسس صينية لم تكن معروفة من قبل والتي أُطلق عليها اسم “Hafnium” ، والتي يُعرف عنها شن هجماتها باستخدام شركات مضيفة مقرها الولايات المتحدة

: “تستهدف الهافنيوم بشكل أساسي الكيانات في الولايات المتحدة عبر عدد من القطاعات الصناعية ، بما في ذلك باحثو الأمراض المعدية ، وشركات المحاماة ، ومؤسسات التعليم العالي ، ومقاولو الدفاع ، ومراكز الفكر السياسية ، والمنظمات غير الحكومية”.

.

آلية الهجوم

“. وفقًا لمايكروسوفت ، لوحظ أن مهاجمي هافنيوم يجمعون بين جميع عيوب يوم الصفر الأربعة لاستهداف المؤسسات التي تشغل منتجات Exchange Server ضعيفة

. CVE-2021-26855 هو عيب في “تزوير الطلب من جانب الخادم” (SSRF) ، حيث يمكن خداع الخادم في هذه الحالة وعمل مصادقة مع الخادم.

استخدم المهاجمون CVE-2021-26857 لتشغيل التعليمات البرمجية التي يختارونها ضمن حساب “النظام” على خادم Exchange مستهدف.

قد يسمح العيبان الآخران اللذان لا يعملان في يوم الصفر – CVE-2021-26858 و CVE-2021-27065

– للمهاجمين بكتابة ملف إلى أي جزء من الخادم.

وبعد التمكن من الضعف يستطيع المهاجمون من خلال تثبيت الـ web shills سحب نسخ من الملفات المطلوبة

لذا لوحظ منذ 12 مارس ظهور برامج فدية على الخوادم المصابة مررت عبر تلك الأبواب الخلفية.

الضحايا

تخطى عدد الشركات التي تمت مهاجمتها الـ 60,000 شركة نصفها في الولايات المتحدة وحوالي سبعة آلاف في المملكة المتحدة ويتوزع الباقون في أوروبا وسائر أنحاء العالم .

إن المجموعة كانت تشن هجمات مستهدفة أنظمة البريد الإلكتروني التي تستخدمها مجموعة من القطاعات الصناعية ، بما في ذلك باحثو الأمراض المعدية و شركات المحاماة و مؤسسات التعليم و شركات الدفاع ومراكز الفكر السياسي والمنظمات غير الحكومية. يقول خبراء أمنيون أنه منذ ذلك الحين فإن مجموعة التجسس الصينية -هافنيوم- قد صعدت من هجماتها على كل الخوادم التى تحتوى على نفس الثغرة ولم يتم تحديثها بعد .

ومن أشهر الضحايا خارج الولايات المتحدة برلمان النرويج والهيئة المصرفية الاروبية

كيف واجهت ميكروسوفت للهجوم؟

من المعروف أن الشركة العملاقة تصدر تحديثات الأمان والتحسينات في الثلاثاء الثاني من كل شهر كميعاد ثابت لكن بسبب هذا الهجوم العنيف بدأت في الثاني من مارس في التعامل مع الازمة وإصدار التحسينات التي تغلق الثغرات المستهدفة  فطبقا للجدول الزمني عند معالجة الهجمات النشطة التي تستهدف نقاط الضعف التي تم تحديدها حديثًا والخطيرة في منتجاتها تعمل التصحيحات على تلافى عيوب الثغرات الاربعة التى تم اكتشافها فى الخوادم التى تم اختراقها.

ذكر متحدث بشركة ميكروسوفت إن الشركة تعمل عن كثب مع وكالة الأمن السيبرانى للتأكد من أننا نقدم أفضل دعم فني لعملائنا للتخفيف من آثار ذلك الهجوم وأن أفضل حماية للعملاء هو تطبيق التحديثات في أقرب وقت ممكن عبر جميع الأنظمة المتأثرة .

ذلك وتعمل أقسام تكنولوجيا المعلومات على تطبيق التصحيحات لدى العملاء لكن هذا غالبا ما يستغرق وقتا طويلا وقد أعلنت شركة Netcraft  أنها أجرت تحليلاً أثناء إنتشار هذه الأزمة ولاحظت انه لا يزال هناك أكثر من 99 ألف خادم عبر الإنترنت لبرنامج Outlook Web Access  لم يتم تصحيح ثغراته بعد .

الآثار المترتبة على الهجوم

من الآثار الإقتصادية المباشرة علي شركة ميكروسوفت أنه  في الأول من مارس وهو اليوم الذي سبق إفصاح الشركة عن المشكلات تراجعت أسهم مايكروسوفت بنسبة 1.3% بينما أنخفض مؤشر ( S&B 500) بنسبة 0.7% خلال نفس تلك الفترة.

وعن أحدث الضحايا صرح نائب رئيس شركة Acronis المعنية بحماية البيانات بتاريخ 10 يونيو 2021أن شركة E.A Sports قد تم تسرب 780 جيجا من ال Source Code , Tools  الخاصة بصناعة الألعاب ومنهم الأكواد الماستر الخاصة بألعاب Fife 21 ,Fife 22  التى سيتم طرحها فى سبتمبر وأكتوبر القادمين هذا بخلاف تسريب أكواد أخرى لبعض الألعاب من نفس الشركة وقد بيَن أن هذا الإختراق تم عن طريق تغرة Microsoft Exchange Server  التي قام المهاجمون بأستغلالها فى تثبت ال proxylogon  ومما سهَل عليهم هذا الأمر إهمال شركة E.A Sports  الكبير في تثبيت التحسينات التي أطلقتها مايكروسوفت رغم إعلان الأمر منذ فترة كبيرة.

هذا وما تزال الآثار الأقتصادية والتقنية وغيرها تتوالى جرَاء هذا الهجوم الخطير حتى تاريخ كتابة هذا المقال.

كيف نتفادى الهجمات والاختراق

1. التحديث الدائم للتحسينات-patches-المعلنه من مقدم الخدمة .
2. توظيف أستراتيجية قوية خاصة بالأمن السيبرانى.
3. ضمان مصادقة آمنة للتطبيقات التى يتم الوصول اليها من خارج الشبكة.
4. تدريب الموظفين.
5. فحص وتصفية حركة مرور البيانات على الأنترنت.
6. ضمان وجود نسخة احتياطية للملفات الهامة .
7. عزل الشبكات .

المصادر

–Microsoft Patch Tuesday, April 2021 Edition

April 13, 2021من موقعhttps://krebsonsecurity.com/?s=Four+exploits+found+in+Microsoft%E2%80%99s+Exchange+Server

– Microsoft: Chinese Cyberspies Used 4 Exchange Server Flaws to Plunder Emails

March 2, 2021 موقعhttps://krebsonsecurity.com/?s=Four+exploits+found+in+Microsoft%E2%80%99s+Exchange+Server

– Microsoft Patches Six Zero-Day Security Holes

June 8, 2021 نفس المصدر السابق

– At Least 30,000 U.S. Organizations Newly Hacked Via Holes in Microsoft’s Email Software

March 5, 2021 نفس المصدر السابق

– Microsoft hack: White House warns of ‘active threat’ of email attack

6 March 2021 https://www.bbc.com/news/world-us-canada-56304379

                .